Dreptul de a fi uitat: Pasivitatea operatorului în fața cererilor repetate de ștergere a datelor personale îi poate aduce o amendă

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a dat o amendă în valoare de 1.000 de euro unui operator de date - firmă cu renume în domeniul decorațiunilor și mobilierului. În urma investigației, a reieșit că persoana vizată a cerut, în mod repetat, dreptul de ștergere a datelor sale dintr-un cont de utilizator, care a fost creat în baza unei adrese de e-mail.

ANSPDCP a constatat, potrivit unei informări a autorității, că operatorul respectiv de date nu a făcut dovada că a transmis în termenul legal un răspuns la cererile prin care persoana a vrut să i se șteargă datele, ceea ce constituie o încălcare a dispozițiilor GDPR.

”Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format”, se stipulează la articolul 12, alineatul 3 din GDPR.

În același timp, în cadrul investigației, operatorului i s-a aplicat și măsura corectivă de a lua măsurile necesare astfel încât să respecte, în toate cazurile, drepturile persoanelor vizate prevăzute de Regulamentul General privind Protecția Datelor.

GDPR garantează dreptul persoanelor de a solicita ștergerea datelor lor, atunci când acestea sunt deținute de către o companie. În asemenea situații, companiile cărora li se fac asemenea solicitări trebuie să verifice dacă au un temei pentru păstrarea datelor și dacă, ulterior solicitării, acesta subzistă. 

În esență, cazurile când este justificată ștergerea datelor sunt:

• menținerea datelor nu mai e necesară, prin raportare la scopul inițial pentru care au fost prelucrate;
• solicitantul își dăduse, inițial, consimțământul la prelucrarea de date și, prin cererea de ștergere a datelor, se consideră că acel consimțământ a fost retras și nu există niciun alt temei pentru păstrarea datelor;
• solicitantul se opune prelucrării, iar operatorul nu are motive legitime mai puternice prin care să justifice menținerea datelor, contrar intereselor persoanei vizate (dacă e vorba de date deținute în scop de marketing, întotdeauna va putea fi exercitat dreptul de opoziție);
• prelucrarea datelor s-a făcut ilegal (de exemplu, nu a existat temei de prelucrare sau temeiul nu a fost valid în situația dată);
• legislația (națională sau a Uniunii Europene) obligă la ștergerea datelor respective;
• datele au fost colectate în contextul furnizării unor servicii ale societății informaționale.

Totuși, există și situații în care operatorii nu sunt obligați să șteargă datele personale ale persoanelor fizice. Aceste date sunt cele care referire la o obligație legală, cum ar fi datele personale ale salariaților, ce sunt introduse în Revisal, cele deținute de bănci sau de furnizorii de servicii. De asemenea, ștergerea datelor nu este justificată, chiar dacă există o solicitare în acest sens, în privința exercitării dreptului la liberă exprimare și la informație.